Centres de données sur site ou dans le cloud : quel environnement offre une meilleure sécurité des données ?
Les dirigeants d'entreprise rechignent parfois à stocker des données sensibles dans le cloud. Ils craignent de perdre le contrôle de la sécurité de leurs données. De plus, il est parfois plus rassurant de parcourir l'allée d'un centre de données sur site et de voir les systèmes physiques où les données sont stockées.
En fin de compte, la sécurité fournie par le cloud par rapport à un centre de données sur site dépend des personnes, des processus et des technologies en jeu. Avec l'expertise appropriée, en appliquant les meilleures pratiques et avec un matériel et des logiciels à jour, l'un ou l'autre de ces environnements peut assurer la protection nécessaire des actifs numériques de votre entreprise.
Dans la plupart des cas, si vous collaborez avec un grand fournisseur de plate-forme cloud et un consultant tiers pour gérer votre environnement cloud, vos données seront plus sûres dans le cloud. Les principaux fournisseurs de plates-formes cloud proposent des services de gestion de l'identité et d'authentification de l'utilisateur final, ainsi que le chiffrement des données téléchargées depuis le cloud, afin de garantir le respect des normes de sécurité les plus strictes.
Inconvénients du stockage des données sur site
Dans le cloud, vous dépenserez probablement moins pour la sécurité, et les efforts pour maintenir votre niveau de sécurité seront plus efficaces. En effet, si vous conservez vos données sur site, vous devrez soit embaucher des professionnels de pointe en matière de sécurité informatique, soit vous fier à votre équipe d'administrateurs système. La première option implique le paiement de salaires élevés et d'avantages sociaux. La seconde option risque de surcharger votre équipe informatique avec la nécessité de faire appel à des experts informatiques généralistes qui ne seront pas forcément très compétents en matière de sécurité.
Les ressources informatiques internes sont également entravées par leur exposition limitée. Elles ne voient et ne travaillent qu'avec votre infrastructure informatique. Inversement, les professionnels externes du cloud travaillent avec un large éventail de clients dans divers secteurs. Ceci leur donne une perspective beaucoup plus large sur les meilleures pratiques et les processus de sécurité, qui doivent continuellement évoluer afin de faire face à toutes les activités cybercriminelles, de plus en plus sophistiquées. Cette perspective est tout simplement difficile à acquérir pour les équipes internes.
Dans le cas d'un stockage des données sur site, vous devrez également investir dans des outils de sécurité et appliquer régulièrement les correctifs et les mises à jour. Ceci augmente encore vos coûts, et il est très facile de perdre de vue un outil qui nécessite une mise à jour, ce qui signifie que l'outil ne fonctionnera pas toujours à sa capacité optimale.
Un autre aspect de la sécurité des données qui peut s'avérer difficile pour les équipes internes est la capacité à accéder aux données sur les menaces externes et à les traiter. Il ne suffit pas d'instaurer un système de sécurité renforcé en interne. Vous devez également connaître les menaces qui rôdent et qui pourraient bientôt « frapper à la porte » de votre périmètre de sécurité. Le problème est que les sources externes à surveiller sont nombreuses. La synchronisation de toutes les informations sur les menaces nécessite une expertise spécifique et des technologies de gestion des menaces.
Quand les environnements de cloud public ne sont pas une option
Pour les entreprises qui manipulent des données sensibles, comme dans les secteurs de la finance et de la santé, le stockage de données dans des environnements de cloud public n'est pas toujours possible ou est parfois interdit par la réglementation. Et si l'idée que vos données résident en dehors de votre bâtiment physique vous empêche simplement de dormir la nuit, le stress lié à l'utilisation du cloud public n'en vaut pas la peine.
Une alternative possible est d'envisager la mise en place d'un cloud privé dans votre centre de données sur site. Vous pouvez également envisager un environnement virtuel de cloud privé, fourni par une structure de centres de données en colocation. Ces deux approches vous permettent de mettre en place un environnement hybride qui serait la meilleure alternative aux centres de données sur site qui n'ont pas de connexion à Internet.
La sécurité dans le cloud n'est pas automatique
Si les principaux fournisseurs de cloud peuvent vous aider à relever tous ces défis, vous ne devez pas vous contenter de tirer parti de leurs services en imaginant que tous vos problèmes de sécurité disparaîtront. Tout comme vous le feriez avec un centre de données interne, sélectionnez soigneusement votre fournisseur cloud en évaluant les personnes, les processus et les technologies qu'il propose. Seulement ainsi, vous pourrez vous assurer qu'un fournisseur cloud répondra suffisamment à vos préoccupations en matière de sécurité.
Il est souvent judicieux de travailler avec un consultant tiers en sécurité cloud. Bien que les principaux fournisseurs de plates-formes cloud, comme AWS, Azure et Google, donnent accès à tous les outils de sécurité dont vous aurez besoin, ils ne configurent pas automatiquement votre environnement pour tirer parti de ces outils. Vous devez savoir comment les activer, les superviser et gérer les services au fil du temps. C'est là qu'un consultant ou un fournisseur de services gérés dans le cloud se révèle essentiel.
Vous disposez peut-être de ressources internes capables de surveiller et de gérer les outils de sécurité dans le cloud, mais il s'agit là d'un autre cas où il est généralement préférable de se tourner vers un partenaire externe disposant d'une vaste expertise en matière de meilleures pratiques de sécurité. De préférence, votre équipe interne devrait s'assurer que les applications fonctionnent bien et aider les utilisateurs finaux qui ont besoin d'une assistance technique.
Comprendre le modèle de responsabilité partagée pour la sécurité dans le cloud
Lors du stockage de données dans le cloud, il est également essentiel de comprendre le modèle de responsabilité partagée pour la sécurité dans le cloud. Même si les fournisseurs de services cloud prennent des mesures pour protéger l'infrastructure matérielle de leurs environnements, vous êtes, en fin de compte, responsable de la sécurité de vos données et de vos applications. Veillez également à identifier les tiers qui ont accès à votre environnement cloud ou qui fournissent des services spécifiques pour celui-ci.
Par exemple, votre fournisseur cloud peut s'appuyer sur un fournisseur de services externe pour la protection antivirus. Vous exécutez peut-être également une application d'entreprise dans un environnement cloud négocié par le fournisseur d'applications mais hébergé dans une structure de colocation. Il est essentiel d'identifier toutes les personnes impliquées et leur rôle dans la protection de votre environnement cloud, les contrôles de sécurité dont chaque entité est responsable et s'il existe des failles de sécurité représentant un risque pour votre environnement. Un plan de projet doit ensuite être mis en place pour que la partie responsable comble ces lacunes et pour que votre dispositif de sécurité dans le cloud soit conforme aux réglementations applicables.
L'un des défis que les entreprises rencontrent souvent en matière de responsabilité partagée concerne le manque de visibilité sur les contrôles de sécurité déployés par les fournisseurs cloud : ils ne partagent pas toujours ces informations avec leurs clients. Dans l'idéal, vous devez travailler avec votre fournisseur cloud pour créer un tableau de responsabilité partagée qui clarifie les responsabilités en matière de contrôles de sécurité et définit celles qui sont détenues à 100 % par une seule entité et celles qui sont partagées par plusieurs entités.
Tout cela souligne une fois de plus l'importance des personnes, des processus et des technologies qui sont en jeu pour protéger vos données et vos autres ressources numériques. Que vos données résident sur site, dans le cloud ou dans les deux environnements, assurez-vous de recourir à l'expertise nécessaire, aux meilleures pratiques et aux principaux outils de sécurité.
Greg Mooney
Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.